Sicherheit Digital Certificate Manager

Transkript

1 IBM Systems - iseries Sicherheit Digital Certificate Manager Version 5 Release 4

2

3 IBM Systems - iseries Sicherheit Digital Certificate Manager Version 5 Release 4

4 Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die allgemeinen Informationen unter Bemerkungen, auf Seite 101 gelesen werden. Neunte Ausgabe (Februar 2006) Diese Ausgabe bezieht sich auf Version 5, Release 4, Modifikation 0 von IBM i5/os (Produktnummer 5722-SS1) und alle nachfolgenden Releases und Modifikationen, es sei denn, es erfolgen anders lautende Angaben in neuen Ausgaben. Diese Version kann nicht auf allen RISC-Modellen (RISC = Reduced Instruction Set Computer) ausgeführt werden. Auf CICS-Modellen ist sie nicht ausführbar. Diese Veröffentlichung ist eine Übersetzung des Handbuchs IBM Systems - iseries Security Digital Certificate Manager, Version 5 Release 4, herausgegeben von International Business Machines Corporation, USA Copyright International Business Machines Corporation 1999, 2006 Copyright IBM Deutschland GmbH 1999, 2006 Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiz nicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen. Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und verfügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle. Änderung des Textes bleibt vorbehalten. Herausgegeben von: SW TSC Germany Kst Februar 2006

5 Inhaltsverzeichnis Digital Certificate Manager Neuerungen in V5R Druckbare PDF-Datei DCM-Konzepte Zertifikatserweiterungen Zertifikatsverlängerung Registrierter Name Digitale Signaturen Öffentliches/privates Schlüsselpaar Zertifizierungsinstanz (CA) CRL-Verteilungspunkte Zertifikatsspeicher Chiffrierung IBM Verschlüsselungskoprozessoren für iseries 11 Secure Sockets Layer (SSL) Anwendungsdefinitionen Gültigkeitsprüfung DCM-Szenarios Szenario: Zertifikate für die externe Authentifizierung verwenden Szenario: Zertifikate für die interne Authentifizierung verwenden Planung von DCM DCM-Setupvoraussetzungen Hinweise zur Sicherung und Wiederherstellung von DCM-Daten Typen digitaler Zertifikate Öffentliche vs. private Zertifikate Digitale Zertifikate für die gesicherte SSL-Kommunikation Digitale Zertifikate für die Benutzerauthentifizierung Digitale Zertifikate und Enterprise Identity Mapping Digitale Zertifikate für VPN-Verbindungen...41 Digitale Zertifikate für das Signieren von Objekten Digitale Zertifikate für die Prüfung von Objektsignaturen Konfiguration von DCM Digital Certificate Manager starten Zertifikate erstmals definieren Vorhandenes Zertifikat verlängern Zertifikat importieren Verwaltung mit DCM Lokale Zertifizierungsinstanz zum Ausstellen von Zertifikaten für andere iseries-systeme verwenden Anwendungen in DCM verwalten Zertifikate nach Verfallsdatum verwalten...79 Zertifikate und Anwendungen überprüfen...80 Anwendungen ein Zertifikat zuordnen CRL-Verteilungspunkte verwalten Zertifikatsschlüssel auf einem IBM Verschlüsselungskoprozessor speichern Anforderungsadresse für eine PKIX-Zertifizierungsinstanz verwalten LDAP-Position für Benutzerzertifikate verwalten 86 Objekte signieren Objektsignaturen prüfen Fehlerbehebung in DCM Fehler bei Kennwörtern und allgemeine Fehler beheben Fehler bei Zertifikatsspeichern und Schlüsseldatenbanken beheben Fehler bei Browsern beheben Fehler beim IBM HTTP-Server für iseries beheben Fehler beim Zuordnen eines Benutzerzertifikats beheben Referenzinformationen zu DCM Anhang. Bemerkungen Marken Bedingungen iii

6 iv IBM Systems - iseries: Sicherheit Digital Certificate Manager

7 Digital Certificate Manager Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, den Sie bei elektronischen Transaktionen zur Belegung Ihrer Identität verwenden können. Digitale Zertifikate werden immer häufiger zur Verbesserung der Sicherheit in Netzwerken eingesetzt. Sie sind z. B. bei der Konfiguration und der Verwendung von Secure Sockets Layer (SSL) von zentraler Bedeutung. Durch den Einsatz von SSL können Sie gesicherte Verbindungen zwischen Benutzern und Serveranwendungen innerhalb eines nicht anerkannten Netzwerks wie z. B. dem Internet herstellen. SSL bietet Ihnen im Internet eine der besten Lösungen zum Schutz der Vertraulichkeit von sensiblen Daten wie z. B. Benutzernamen und Kennwörtern. Zahlreiche iseries-services und -Anwendungen wie FTP, Telnet oder HTTP-Server stellen SSL-Unterstützung zur Gewährleistung der Vertraulichkeit von Daten zur Verfügung. iseries verfügt über umfangreiche Unterstützungsfunktionen für digitale Zertifikate, mit deren Hilfe Sie diese bei einer Reihe von Sicherheitsanwendungen als Berechtigungsnachweis einsetzen können. Zusätzlich zu der Möglichkeit, Zertifikate zur Konfiguration von SSL zu benutzen, können Sie diese sowohl bei SSL- als auch bei VPN-Transaktionen (VPN = Virtual Private Network) als Berechtigungsnachweis für die Client-Authentifizierung benutzen. Digitale Zertifikate und die zugehörigen Sicherheitsschlüssel können auch zum Signieren von Objekten (siehe hierzu Sign objects) eingesetzt werden. Das Signieren von Objekten ermöglicht Ihnen durch Prüfung der Objektsignaturen die Feststellung von Änderungen oder Manipulationen des Objektinhalts und somit die Gewährleistung ihrer Integrität. Die Nutzung dieser iseries-unterstützungsfunktionen für Zertifikate ist einfach, wenn Sie mit Digital Certificate Manager (DCM) arbeiten. Hierbei handelt es sich um eine kostenlose Funktion für die zentrale Verwaltung von Anwendungszertifikaten. DCM ermöglicht Ihnen die Verwaltung von Zertifikaten, die von einer beliebigen Zertifizierungsinstanz (CA) ausgestellt wurden. Darüber hinaus können Sie DCM verwenden, um eine eigene lokale Zertifizierungsinstanz zu erstellen und zu betreiben, mit der Sie private Zertifikate für die Anwendungen und Benutzer Ihres Unternehmens ausstellen können. Eine durchdachte Planung und Bewertung Ihrer individuellen Anforderungen sind der Schlüssel zum effektiven Einsatz von Zertifikaten und zur Nutzung ihrer zusätzlichen Sicherheitsvorteile. Unter den folgenden Themen finden Sie Wissenswertes zur Funktionsweise von Zertifikaten und dazu, wie DCM zur Verwaltung von Zertifikaten und der Anwendungen, die diese benutzen, eingesetzt werden kann: Neuerungen in V5R4 Im Folgenden wird erläutert, welche Informationen im aktuellen Release neu hinzugefügt oder erheblich geändert wurden. Neue Informationen zur Zertifikatsverlängerung In diesen neuen Informationen werden die einzelnen Arbeitsschritte erläutert, die zur Verlängerung vorhandener Zertifikate bei der lokalen Zertifizierungsinstanz oder bei einer Internet-Zertifizierungsinstanz durchgeführt werden müssen. v Vorhandenes Zertifikat verlängern auf Seite 63 Neue Informationen zum Zertifikatsimport In diesen neuen Informationen werden die Arbeitsschritte erläutert, die zum Importieren von Zertifikaten ausgeführt werden müssen, die in Dateien auf Ihrem oder einem anderen Server gespeichert sind. v Zertifikat importieren auf Seite 65 1

8 Ergänzungen zu den Informationen für die Liste der entzogenen Zertifikate (CRL) und das Lightweight Directory Access Protocol (LDAP) Diese Informationen wurden aktualisiert und enthalten jetzt Anweisungen zur Herstellung einer anonymen Bindung zu einem LDAP-Server zum Zwecke der CRL-Verarbeitung. v CRL-Verteilungspunkte verwalten auf Seite 81 v LDAP-Position für Benutzerzertifikate verwalten auf Seite 86 v CRL-Verteilungspunkte auf Seite 7 Abrufen neuer oder geänderter Informationen Um technische Änderungen zu markieren, werden im vorliegenden Dokument die folgenden Symbole verwendet: v Das Grafiksymbol markiert den Anfang der neuen oder geänderten Informationen. v Das Grafiksymbol markiert das Ende der neuen oder geänderten Informationen. Weitere Informationen zu den Änderungen und Neuerungen im aktuellen Release finden Sie im Memorandum für Benutzer. Druckbare PDF-Datei Auf dieser Seite finden Sie Informationen zum Drucken des gesamten Abschnitts als PDF-Datei. Wenn Sie die PDF-Version dieses Themas anzeigen oder herunterladen wollen, müssen Sie Digital Certificate Manager (Dateigröße ca. 600 KB bzw. 116 Seiten) auswählen. Speichern von PDF-Dateien So können Sie eine PDF-Datei auf Ihrer Workstation speichern, um diese anzuzeigen oder zu drucken: 1. Klicken Sie im Browser mit der rechten Maustaste auf die PDF-Datei (bzw. klicken Sie auf den o. a. Link). 2. Klicken Sie, wenn Sie mit dem Internet Explorer arbeiten, auf Ziel speichern unter... Wenn Sie Netscape Communicator verwenden, müssen Sie auf Rahmen speichern unter... klicken. 3. Navigieren Sie zu dem Verzeichnis, in dem die PDF-Datei gespeichert werden soll. 4. Klicken Sie auf Speichern. Download von Adobe Acrobat Reader Zur Anzeige und zum Drucken von PDF-Dateien benötigen Sie Adobe Acrobat Reader. Sie können eine Kopie dieses Produkts von der Adobe-Website ( herunterladen. DCM-Konzepte Anhand der folgenden Informationen können Sie sich mit digitalen Zertifikaten und deren Funktionsweise vertraut machen. Sie enthalten Angaben zu den unterschiedlichen Zertifikatstypen und wie diese im Rahmen Ihrer Sicherheitsrichtlinien eingesetzt werden können. Bevor Sie digitale Zertifikate verwenden, um die Sicherheitsstrategie Ihres Systems und Ihres Netzwerks zu optimieren, sollten Sie die grundlegenden Merkmale digitaler Zertifikate sowie die Vorteile kennen, die diese in Bezug auf die Sicherheit bieten. 2 IBM Systems - iseries: Sicherheit Digital Certificate Manager

9 Ein digitales Zertifikat ist ein digitaler Berechtigungsnachweis, der die Identität des Zertifikatseigners bestätigt, vergleichbar mit einem Pass. Die Identifikationsdaten, die in einem digitalen Zertifikat bereitgestellt werden, werden als registrierter Subjektname (DN) bezeichnet. Eine anerkannte Instanz, die als Zertifizierungsinstanz (CA) bezeichnet wird, stellt digitale Zertifikate für Benutzer und Organisationen bzw. Unternehmen aus. Die Anerkennung der Zertifizierungsinstanz bildet die Voraussetzung für die Anerkennung des Zertifikats als gültiger Berechtigungsnachweis. Ein digitales Zertifikat enthält darüber hinaus auch einen öffentlichen Schlüssel, der Teil eines öffentlichen/privaten Schlüsselpaares ist. Eine Vielzahl von Sicherheitsfunktionen basieren auf der Verwendung digitaler Zertifikate und der zugehörigen Schlüsselpaare. Sie können digitale Zertifikate zum Konfigurieren von SSL-Sitzungen (SSL = Secure Sockets Layer) verwenden und so private gesicherte Kommunikationssitzungen zwischen Benutzern und den verwendeten Serveranwendungen herstellen. Sie können diese Sicherheitsfunktionen auch erweitern, indem Sie viele SSL-Anwendungen so konfigurieren, dass zur gesicherten Benutzerauthentifizierung an Stelle von Benutzernamen und Kennwörtern Zertifikate verwendet werden. Weitere Informationen zu den Konzepten digitaler Zertifikate finden Sie in den folgenden Themen: Zertifikatserweiterungen Bei Zertifikatserweiterungen handelt es sich um Informationsfelder, die zusätzliche Informationen zu Zertifikaten bereitstellen. Zertifikatserweiterungen bieten eine Möglichkeit zur Erweiterung der ursprünglichen X.509-Standards für Zertifikatsinformationen. Während bestimmte Erweiterungen angegeben werden, um die für ein Zertifikat bereitgestellten Identifikationsdaten zu ergänzen, enthalten andere Erweiterungen Informationen zu den Verschlüsselungsfunktionen des Zertifikats. Nicht alle Zertifikate verwenden die Erweiterungsfelder zur Erweiterung des registrierten Namens (DN) und weiterer Informationen. Die Anzahl und der Typ der Erweiterungsfelder, die von einem Zertifikat verwendet werden, variieren abhängig von den Zertifizierungsinstanzen (CAs), die zur Ausstellung von Zertifikaten verwendet werden. Die von Digital Certificate Manager (DCM) bereitgestellte lokale Zertifizierungsinstanz (CA) ermöglicht Ihnen z. B. ausschließlich die Verwendung der Zertifikatserweiterungen für den Subjektalternativennamen. Diese Erweiterungen ermöglichen die Zuordnung eines Zertifikats zu einer bestimmten IP-Adresse, einem vollständig qualifizierten Domänennamen oder einer -Adresse. Wenn Sie das Zertifikat jedoch zum Identifizieren eines Endpunktes für eine iseries-vpn-verbindung (VPN = Virtual Private Network) benutzen wollen, müssen Sie Informationen für diese Erweiterungen angeben. Zugehörige Konzepte Registrierter Name auf Seite 4 Unter diesem Thema erfahren Sie mehr über Identifikationsmerkmale von digitalen Zertifikaten. Zertifikatsverlängerung Die von Digital Certificate Manager (DCM) bei der Zertifikatsverlängerung verwendete Vorgehensweise kann abhängig vom Typ der ausstellenden Zertifizierungsinstanz (CA) variieren. Wenn Sie zum Signieren des verlängerten Zertifikats die lokale Zertifizierungsinstanz (CA) verwenden, benutzt DCM die Informationen, die Sie bei der Erstellung eines neuen Zertifikats im aktuellen Zertifikatsspeicher angeben, und speichert das zuvor verwendete Zertifikat. Wenn Sie zur Ausstellung des Zertifikats eine anerkannte Internet-Zertifizierungsinstanz (CA) verwenden, können Sie zur Zertifikatsverlängerung entweder das verlängerte Zertifikat aus einer Datei importieren, die Sie von der signierenden CA erhalten haben, oder Sie können mit DCM ein neues Digital Certificate Manager 3

10 öffentliches/privates Schlüsselpaar für das Zertifikat erstellen. DCM stellt die erste Auswahl für den Fall bereit, dass Sie es vorziehen, das Zertifikat direkt bei der Zertifizierungsinstanz zu verlängern, die dieses ausgestellt hat. Wenn Sie sich für die Erstellung eines neuen Schlüsselpaares entscheiden, führt DCM die Verlängerung auf die gleiche Weise durch, die bei der Zertifikatserstellung verwendet wurde. DCM erstellt ein neues öffentliches/privates Schlüsselpaar für das verlängerte Zertifikat und generiert eine Zertifikatssignieranforderung (CSR), die aus einem öffentlichen Schlüssel und weiteren Informationen besteht, die für das neue Zertifikat angegeben werden. Sie können die CSR zum Anfordern eines neuen Zertifikats von Veri- Sign oder einer anderen öffentlichen Zertifizierungsinstanz verwenden. Nachdem Sie das signierte Zertifikat von der Zertifizierungsinstanz (CA) erhalten haben, können Sie dieses mit DCM in den entsprechenden Zertifikatsspeicher importieren. Der Zertifikatsspeicher enthält anschließend beide Kopien des Zertifikats, d. h. das ursprüngliche Dokument und das neu ausgestellte, verlängerte Zertifikat. Wenn Sie kein neues Schlüsselpaar durch DCM generieren lassen wollen, führt Sie das Programm durch den Prozess zum Import des verlängerten, signierten Zertifikats in den Zertifikatsspeicher. Das Zertifikat befindet sich hierbei in einer Datei, die Sie von der zuständigen Zertifizierungsinstanz (CA) erhalten haben. Das importierte, verlängerte Zertifikat ersetzt dann das zuvor verwendete Zertifikat. Registrierter Name Unter diesem Thema erfahren Sie mehr über Identifikationsmerkmale von digitalen Zertifikaten. Für jede Zertifizierungsinstanz gelten bestimmte Richtlinien bei der Festlegung, welche Identifikationsdaten zur Ausstellung eines Zertifikats erforderlich sind. Einige öffentliche Internet-Zertifizierungsinstanzen fordern möglicherweise nur wenige Informationen an, wie beispielsweise einen Namen und eine -Adresse. Andere öffentliche Zertifizierungsinstanzen fordern möglicherweise mehr Informationen und Identitätsnachweise an, bevor sie ein Zertifikat ausstellen. Zertifizierungsinstanzen, die PKIX-Standards unterstützen (PKIX = Public Key Infrastructure Exchange), verlangen möglicherweise vom Anfordernden, seine Identitätsdaten durch eine Registrierungsinstanz (RA) bestätigen zu lassen, bevor das Zertifikat ausgestellt wird. Wenn Sie vorhaben, Zertifikate als Berechtigungen zu akzeptieren und zu verwenden, sollten Sie daher die Identifikationsanforderungen der betreffenden Zertifizierungsinstanz überprüfen, um festzustellen, ob deren Anforderungen Ihren Sicherheitsbedürfnissen gerecht werden. Beim registrierten Namen (DN = Distinguished Name) handelt es sich um einen Terminus, der die identifizierenden Informationen eines Zertifikats beschreibt und selbst Teil des Zertifikats ist. Ein Zertifikat enthält DN-Informationen sowohl für den Eigner bzw. Anforderer des Zertifikats (DN für Betreff) als auch für die Zertifizierungsinstanz (CA), die das Zertifikat ausstellt (DN für Aussteller). Abhängig von den jeweiligen Identifikationsrichtlinien der Zertifizierungsinstanz, die ein Zertifikat ausstellt, kann der DN umfangreiche Informationen beinhalten. Sie können Digital Certificate Manager (DCM) verwenden, um eine private Zertifizierungsinstanz zu betreiben und private Zertifikate auszustellen. Darüber hinaus können Sie DCM zum Generieren der DN-Informationen sowie des Schlüsselpaars für die von einer öffentlichen Internet-Zertifizierungsinstanz für Ihr Unternehmen ausgestellten Zertifikate verwenden. Die DN-Informationen, die Sie für beide Zertifikatstypen angeben können, umfassen Folgendes: v Allgemeiner Name des Zertifikatseigners v v Organisation Organisationseinheit v Standort oder Stadt v Bundesland v Land oder Region Wenn Sie DCM zum Ausstellen privater Zertifikate verwenden, können Sie Zertifikatserweiterungen zur Bereitstellung folgender zusätzlicher DN-Informationen für das Zertifikat verwenden: v Adresse der IP-Version 4 IBM Systems - iseries: Sicherheit Digital Certificate Manager

11 v Vollständig qualifizierter Domänenname v -Adresse Zugehörige Konzepte Zertifikatserweiterungen auf Seite 3 Bei Zertifikatserweiterungen handelt es sich um Informationsfelder, die zusätzliche Informationen zu Zertifikaten bereitstellen. Digitale Signaturen Eine digitale Signatur auf einem elektronischen Dokument oder einem anderen Objekt wird mit Hilfe eines bestimmten Chiffrierverfahrens erstellt und entspricht einer persönlichen Unterschrift auf einem schriftlichen Dokument. Sie belegt den Ursprung eines Objekts und bietet die Möglichkeit, die Integrität dieses Objekts zu prüfen. Der Eigner eines digitalen Zertifikats signiert ein Objekt, indem er den privaten Schlüssel des Zertifikats verwendet. Der Empfänger des Objekts verwendet den zugehörigen öffentlichen Schlüssel des Zertifikats, um die Signatur zu entschlüsseln. Hierdurch können die Integrität des signierten Objekts sowie sein Absender überprüft werden. Eine Zertifizierungsinstanz (CA) signiert die von ihr ausgestellten Zertifikate. Diese Signatur besteht aus einer Datenfolge, die mit dem privaten Schlüssel der Zertifizierungsinstanz verschlüsselt wurde. Jeder Benutzer kann dann die Signatur auf dem Zertifikat prüfen, indem er die Signatur mit Hilfe des öffentlichen Schlüssels der Zertifizierungsinstanz entschlüsselt. Eine digitale Signatur ist eine elektronische Unterschrift, die von Ihnen oder einer Anwendung mit Hilfe des privaten Schlüssels eines digitalen Zertifikats geleistet wird. Die digitale Signatur auf einem Objekt bietet eine eindeutige elektronische Zuordnung der Identität des Signierers (Eigners des Signiererschlüssels) zum Ursprung des Objekts. Wenn Sie auf ein Objekt mit einer digitalen Signatur zugreifen, können Sie die Objektsignatur prüfen. Hierdurch können Sie feststellen, ob die Objektquelle gültig ist. (Es ist auf diese Weise z. B. möglich festzustellen, ob eine Anwendung, die Sie herunterladen möchten, tatsächlich von einer autorisierten Quelle wie beispielsweise IBM stammt.) Mit Hilfe dieses Prüfprozesses können Sie außerdem feststellen, ob an dem Objekt seit dem Erstellen der Signatur unbefugte Änderungen vorgenommen wurden. Beispiel für die Funktionsweise einer digitalen Signatur Ein Softwareentwickler hat eine i5/os-anwendung erstellt, die über das Internet verteilt werden soll, da dies ein einfaches und kostengünstiges Verfahren für seine Kunden darstellt. Er ist sich darüber bewusst, dass diese Kunden beim Herunterladen von Programmen aus dem Internet begründete Bedenken haben, da das Problem mit Objekten, die als legale Programme getarnt sind und sich dann als potenziell gefährlich herausstellen (z. B. Viren) immer häufiger auftritt. Aus diesem Grund entschließt er sich zum digitalen Signieren der Anwendung, damit seine Kunden überprüfen können, dass sein Unternehmen der legitime Absender der Anwendung ist. Er verwendet hierzu den privaten Schlüssel eines digitalen Zertifikats, das er von einer bekannten öffentlichen Zertifizierungsinstanz (CA) abgerufen hat. Nachdem die Anwendung signiert ist, stellt er sie seinen Kunden zum Download zur Verfügung. Das Download-Paket umfasst eine Kopie des digitalen Zertifikats, das zum Signieren des Objekts verwendet wurde. Wenn ein Kunde nun das Anwendungspaket herunterlädt, kann er mit Hilfe des öffentlichen Schlüssels dieses Zertifikats prüfen, ob die Anwendungssignatur gültig ist. Durch diese Vorgehensweise kann der Kunde die Anwendung identifizieren und prüfen sowie sicherstellen, dass der Inhalt des Anwendungsobjekts seit dem Erstellen der Signatur nicht geändert wurde. Zugehörige Konzepte Zertifizierungsinstanz (CA) auf Seite 6 Eine Zertifizierungsinstanz (CA) ist eine anerkannte zentrale Verwaltungsentität, die digitale Zertifikate für Benutzer und Server ausstellen kann. Digital Certificate Manager 5

12 Chiffrierung auf Seite 10 In diesem Abschnitt sind grundlegende Informationen zur Chiffrierung enthalten. Außerdem erfahren Sie hier, auf welche Weise digitale Zertifikate Verschlüsselungsfunktionen verwenden, um die Sicherheit der verwendeten Systeme zu gewährleisten. Öffentliches/privates Schlüsselpaar Jedes digitale Zertifikat verfügt über ein Paar zugeordneter Chiffrierschlüssel, das aus einem privaten und einem öffentlichen Schlüssel besteht. Öffentliches/privates Schlüsselpaar Jedes digitale Zertifikat verfügt über ein Paar zugeordneter Chiffrierschlüssel, das aus einem privaten und einem öffentlichen Schlüssel besteht. Anmerkung: Signaturüberprüfungszertifikate bilden eine Ausnahme von dieser Regel und verfügen nur über einen zugeordneten öffentlichen Schlüssel. Ein öffentlicher Schlüssel gehört zum digitalen Zertifikat des Eigners und kann von jedem Benutzer verwendet werden. Ein privater Schlüssel wird dagegen vom Eigner des Schlüssels sicher verwahrt und steht nur diesem zur Verfügung. Durch diesen eingeschränkten Zugriff wird die Sicherheit der mit Hilfe dieses Schlüssels übertragenen Daten gewährleistet. Der Eigner eines Zertifikats kann diese Schlüssel verwenden, um die Sicherheitsvorteile der Verschlüsselungsfunktionen, die diese Schlüssel bieten, zu nutzen. Der Zertifikatseigner kann den privaten Schlüssel eines Zertifikats zum Signieren und Verschlüsseln von Daten (z. B. Nachrichten, Dokumente und Codeobjekte) verwenden, die zwischen Benutzern und Servern hin- und hergesendet werden. Der Empfänger des signierten Objekts kann den im Zertifikat des Signierers enthaltenen öffentlichen Schlüssel dann zum Entschlüsseln der Signatur verwenden. Derartige digitale Signaturen stellen die Zuverlässigkeit des Objektursprungs sicher und bieten eine Möglichkeit zum Prüfen der Objektintegrität. Zugehörige Konzepte Digitale Signaturen auf Seite 5 Eine digitale Signatur auf einem elektronischen Dokument oder einem anderen Objekt wird mit Hilfe eines bestimmten Chiffrierverfahrens erstellt und entspricht einer persönlichen Unterschrift auf einem schriftlichen Dokument. Zertifizierungsinstanz (CA) Eine Zertifizierungsinstanz (CA) ist eine anerkannte zentrale Verwaltungsentität, die digitale Zertifikate für Benutzer und Server ausstellen kann. Zertifizierungsinstanz (CA) Eine Zertifizierungsinstanz (CA) ist eine anerkannte zentrale Verwaltungsentität, die digitale Zertifikate für Benutzer und Server ausstellen kann. Die Anerkennung der Zertifizierungsinstanz bildet die Voraussetzung für die Anerkennung des Zertifikats als gültiger Berechtigungsnachweis. Eine CA verwendet ihren privaten Schlüssel zum Erstellen einer digitalen Signatur auf dem von ihr ausgegebenen Zertifikat, mit der der Ursprung des Zertifikats bestätigt wird. Andere können den öffentlichen Schlüssel des Zertifikats der Zertifizierungsinstanz zum Überprüfen der Authentizität der Zertifikate verwenden, die von der Zertifizierungsinstanz ausgestellt und signiert werden. Bei der Zertifizierungsinstanz kann es sich entweder um eine öffentliche, kommerzielle Entität wie z. B. VeriSign oder eine private Entität handeln, die von einem Unternehmen für interne Zwecke benutzt wird. Viele Unternehmen stellen kommerzielle CA-Services für Internet-Benutzer zur Verfügung. Digital Certificate Manager (DCM) ermöglicht die Verwaltung von Zertifikaten, die von öffentlichen und privaten Zertifizierungsinstanzen (CAs) ausgestellt wurden. 6 IBM Systems - iseries: Sicherheit Digital Certificate Manager

13 Darüber hinaus können Sie DCM verwenden, um eine eigene, private lokale Zertifizierungsinstanz zu betreiben, mit der Sie private Zertifikate für Systeme und Benutzer ausstellen können. Wird ein Benutzerzertifikat von der lokalen Zertifizierungsinstanz ausgestellt, ordnet DCM das Zertifikat automatisch dem Profil des Benutzers auf dem iseries-system oder einer anderen Benutzeridentität zu. Ob DCM das Zertifikat einem Benutzerprofil oder einer anderen Benutzeridentität des Benutzers zuordnet, hängt davon ab, ob DCM für die Verwendung von EIM (Enterprise Identity Mapping) konfiguriert wurde. Damit wird sichergestellt, dass die Zugriffsberechtigungen für das Zertifikat mit denen des Benutzerprofils für den Eigner übereinstimmen. Trusted Root-Status Der Terminus Trusted Root bezieht sich auf eine spezielle Kennzeichnung, die einem Zertifikat der Zertifizierungsinstanz zugeordnet wird. Diese Kennzeichnung als Trusted Root ermöglicht dem Browser oder einer anderen Anwendung, von der Zertifizierungsinstanz (CA) ausgestellte Zertifikate zu authentifizieren und zu akzeptieren. Wird ein Zertifikat der Zertifizierungsinstanz in den Browser heruntergeladen, kann dieses als Trusted Root dediziert werden. Andere Anwendungen, die den Einsatz von Zertifikaten unterstützen, müssen ebenfalls so konfiguriert werden, dass sie eine Zertifizierungsinstanz anerkennen, bevor sie die von einer bestimmten CA ausgestellten Zertifikate authentifizieren und anerkennen können. Sie können DCM zum Aktivieren bzw. Inaktivieren des Anerkennungsstatus für ein Zertifikat der Zertifizierungsinstanz (CA) verwenden. Wenn Sie ein Zertifikat der Zertifizierungsinstanz aktivieren, können Sie angeben, dass Anwendungen dieses zum Authentifizieren und Akzeptieren von Zertifikaten verwenden, die von der Zertifizierungsinstanz ausgestellt wurden. Wenn Sie ein Zertifikat der Zertifizierungsinstanz inaktivieren, können Sie nicht mehr angeben, dass Anwendungen dieses verwenden, um die von der CA ausgestellten Zertifikate zu authentifizieren und zu akzeptieren. Richtliniendaten der Zertifizierungsinstanz (CA) Beim Erstellen einer lokalen Zertifizierungsinstanz (CA) mit Digital Certificate Manager können Sie die Richtliniendaten für die lokale Zertifizierungsinstanz angeben. Die Richtliniendaten für eine lokale Zertifizierungsinstanz beschreiben die einer Zertifizierungsinstanz erteilten Signaturberechtigungen. Sie legen folgende Kriterien fest: v Ob die lokale Zertifizierungsinstanz Benutzerzertifikate ausstellen und signieren kann. v Wie lange die durch die lokale Zertifizierungsinstanz ausgestellten Zertifikate gültig sind. Zugehörige Konzepte Digitale Signaturen auf Seite 5 Eine digitale Signatur auf einem elektronischen Dokument oder einem anderen Objekt wird mit Hilfe eines bestimmten Chiffrierverfahrens erstellt und entspricht einer persönlichen Unterschrift auf einem schriftlichen Dokument. Öffentliches/privates Schlüsselpaar auf Seite 6 Jedes digitale Zertifikat verfügt über ein Paar zugeordneter Chiffrierschlüssel, das aus einem privaten und einem öffentlichen Schlüssel besteht. CRL-Verteilungspunkte Bei einer Liste der entzogenen Zertifikate (CRL = Certificate Revocation List) handelt es sich um eine Datei, in der alle ungültigen und widerrufenen Zertifikate einer bestimmten Zertifizierungsinstanz (CA) aufgeführt sind. Diese Listen werden von den Zertifizierungsinstanzen in periodischen Zeitabständen aktualisiert und anderen für die Veröffentlichung in LDAP-Verzeichnissen (LDAP = Lightweight Directory Access Protocol) zur Verfügung gestellt. Einige Zertifizierungsinstanzen wie z. B. SSH in Finnland veröffentlichen die CRLs selbst in LDAP-Verzeichnissen, auf die direkt zugegriffen werden kann. Wenn eine Zertifizierungs- Digital Certificate Manager 7

14 instanz eigene CRLs veröffentlicht, ist das im Zertifikat an einer Erweiterung für einen CRL-Verteilungspunkt zu erkennen. Dieser wird in Form einer URI-Angabe (URI = Uniform Resource Identifier) definiert. Digital Certificate Manager (DCM) ermöglicht das Definieren und Verwalten von Informationen zu CRL- Verteilungspunkten. Hierdurch kann die Verwendung strengerer Authentifizierungskriterien für Zertifikate gewährleistet werden, die verwendet oder als Identitätsnachweis von anderen akzeptiert werden. Die Definition des CRL-Verteilungspunktes beschreibt die Position des sowie Zugriffsinformationen für den LDAP-Server (LDAP = Lightweight Directory Access Protocol), auf dem die Liste der entzogenen Zertifikate (CRL) gespeichert ist. Zur Herstellung einer Verbindung zu einem LDAP-Server müssen Sie einen DN und ein Kennwort angeben, um zu verhindern, dass das System eine anonyme Bindung zu einem LDAP-Server herstellt. Bei einer anonymen Bindung zum Server wird nicht mit den Berechtigungen gearbeitet, die für den Zugriff auf ein kritisches Attribut wie z. B. die Liste der entzogenen Zertifikate erforderlich ist. In diesem Fall kann DCM ein widerrufenes Zertifikat als gültig einstufen, weil der korrekte Status des Zertifikats nicht aus der Liste der entzogenen Zertifikate abgerufen werden kann. Wenn Sie über eine anonyme Bindung auf den LDAP-Server zugreifen wollen, müssen Sie das Directory-Server-Webverwaltungstool verwenden und dort die Task Schemadateien verwalten auswählen, um die Sicherheitsklasse (Zugriffsklasse) der Attribute certificaterevocationlist und authorityrevocationlist von kritisch in normal zu ändern. Anwendungen, die eine Zertifikatsauthentifizierung durchführen, können für eine bestimmte Zertifizierungsinstanz auf den CRL-Verteilungspunkt zugreifen (sofern dieser definiert wurde), um sicherzustellen, dass die CA ein bestimmtes Zertifikat nicht widerrufen hat. DCM ermöglicht das Definieren und Verwalten der Informationen zum CRL-Verteilungspunkt, die von Anwendungen zur Ausführung der CRL-Verarbeitung während der Zertifikatsauthentifizierung benötigt werden. Die folgenden Anwendungen und Prozesse führen bei der Zertifikatsauthentifizierung z. B. eine CRL-Verarbeitung durch: VPN IKE-Server (VPN IKE = Virtual Private Networking Internet Key Exchange), Anwendungen mit SSL-Unterstützung (SSL = Secure Sockets Layer) und der Objektsignierprozess. Wird ein CRL-Verteilungspunkt definiert und einem CA-Zertifikat zugeordnet, führt DCM als Teil des Prüfprozesses für die von der angegebenen Zertifizierungsinstanz ausgestellten Zertifikate auch die CRL-Verarbeitung aus. Zugehörige Konzepte Zertifikate und Anwendungen überprüfen auf Seite 80 Digital Certificate Manager (DCM) kann zum Überprüfen individueller Zertifikate oder der Anwendungen benutzt werden, die diese Zertifikate verwenden. Die Liste der von DCM geprüften Kriterien kann abhängig davon, ob Zertifikate oder Anwendungen geprüft werden, leicht variieren. Zugehörige Tasks CRL-Verteilungspunkte verwalten auf Seite 81 Digital Certificate Manager (DCM) ermöglicht Ihnen das Definieren und Verwalten der Informationen zu den CRL-Verteilungspunkten (CRL = Certificate Revocation List; Liste der entzogenen Zertifikate), die von einer Zertifizierungsinstanz (CA) bei der Gültigkeitsprüfung von Zertifikaten verwendet werden. Zertifikatsspeicher Ein Zertifikatsspeicher ist eine spezielle Schlüsseldatenbankdatei, die Digital Certificate Manager (DCM) verwendet, um digitale Zertifikate zu speichern. Der Zertifikatsspeicher enthält den privaten Schlüssel des Zertifikats, wenn dieser nicht in einem IBM Verschlüsselungskoprozessor gespeichert wird. DCM ermöglicht es Ihnen, verschiedene Zertifikatsspeichertypen zu erstellen und zu verwalten. DCM steuert den Zugriff auf Zertifikatsspeicher über Kennwörter und darüber hinaus den Zugriff auf das IFS-Verzeichnis und die Dateien, aus denen sich der Zertifikatsspeicher zusammensetzt. 8 IBM Systems - iseries: Sicherheit Digital Certificate Manager

15 Zertifikatsspeicher werden auf der Basis der darin enthaltenen Zertifikatstypen klassifiziert. Die Verwaltungs-Tasks, die Sie für jeden Zertifikatsspeicher ausführen können, variieren je nach dem im betreffenden Zertifikatsspeicher enthaltenen Zertifikatstyp. DCM bietet folgende vordefinierte Zertifikatsspeicher, die erstellt und verwaltet werden können: Lokale Zertifizierungsinstanz (CA) DCM verwendet diesen Zertifikatsspeicher zum Speichern des Zertifikats der lokalen Zertifizierungsinstanz sowie des zugehörigen privaten Schlüssels, wenn Sie eine lokale Zertifizierungsinstanz erstellen. Sie können das in diesem Zertifikatsspeicher enthaltene Zertifikat verwenden, um Zertifikate zu signieren, die Sie von der lokalen Zertifizierungsinstanz ausstellen lassen. Wenn die lokale Zertifizierungsinstanz ein Zertifikat ausstellt, speichert DCM eine Kopie des Zertifikats der Zertifizierungsinstanz (ohne den privaten Schlüssel) zum Zweck der Authentifizierung im entsprechenden Zertifikatsspeicher (z. B. *SYSTEM). Anwendungen verwenden Zertifikate der Zertifizierungsinstanz, um den Ursprung von Zertifikaten zu bestätigen, die sie als Teil der SSL-Vereinbarung überprüfen müssen, damit Berechtigungen für Ressourcen erteilt werden können. *SYSTEM DCM stellt diesen Zertifikatsspeicher für die Verwaltung von Server- oder Client-Zertifikaten zur Verfügung, die von Anwendungen verwendet werden, um an SSL-Kommunikationssitzungen teilzunehmen (SSL = Secure Sockets Layer). IBM iseries -Anwendungen (sowie die Anwendungen vieler anderer Softwarehersteller) wurden so entwickelt, dass sie nur die im Zertifikatsspeicher *SYSTEM enthaltenen Zertifikate verwenden. Wenn Sie DCM zum Erstellen einer lokalen Zertifizierungsinstanz verwenden, wird dieser Zertifikatsspeicher von Digital Certificate Manager im Rahmen des Erstellungsprozesses generiert. Wenn Sie die von Ihren Server- und Client-Anwendungen zu benutzenden Zertifikate von einer öffentlichen Zertifizierungsinstanz wie z. B. Veri- Sign abrufen möchten, müssen Sie diesen Zertifikatsspeicher selbst erstellen. *OBJECTSIGNING DCM stellt diesen Zertifikatsspeicher für die Verwaltung von Zertifikaten zur Verfügung, die Sie zum digitalen Signieren von Objekten verwenden. Mit den Tasks dieses Zertifikatsspeichers können Sie außerdem digitale Signaturen auf Objekten erstellen sowie Objektsignaturen anzeigen und überprüfen. Wenn Sie DCM zum Erstellen einer lokalen Zertifizierungsinstanz verwenden, wird dieser Zertifikatsspeicher von Digital Certificate Manager im Rahmen des Erstellungsprozesses generiert. Wenn Sie die zum Signieren von Objekten benötigten Zertifikate von einer öffentlichen Zertifizierungsinstanz wie z. B. VeriSign abrufen möchten, müssen Sie diesen Zertifikatsspeicher selbst erstellen. *SIGNATUREVERIFICATION DCM stellt diesen Zertifikatsspeicher für die Verwaltung von Zertifikaten zur Verfügung, die Sie zur Überprüfung der Authentizität von digitalen Signaturen auf Objekten verwenden. Zum Überprüfen einer digitalen Signatur muss dieser Zertifikatsspeicher eine Kopie des Zertifikats enthalten, das zum Signieren des Objekts verwendet wurde. Der Zertifikatsspeicher muss ferner eine Kopie des Zertifikats der Zertifizierungsinstanz enthalten, die das Objektsignierzertifikat ausgegeben hat. Diese Zertifikate können abgerufen werden, indem Objektsignierzertifikate auf dem aktuellen System in den Zertifikatsspeicher exportiert oder indem die vom Objektsignierer empfangenen Zertifikate importiert werden. Speicher für andere Systemzertifikate Dieser Zertifikatsspeicher stellt eine alternative Speichermöglichkeit für Server- oder Client-Zertifikate zur Verfügung, die Sie für SSL-Sitzungen verwenden. Speicher für andere Systemzertifikate sind benutzerdefinierte sekundäre Zertifikatsspeicher für SSL-Zertifikate. Mit der Auswahl Speicher für andere Systemzertifikate können Sie Zertifikate für Anwendungen verwalten, die von Ihnen oder anderen Benutzern geschrieben wurden und die mit Hilfe der API SSL_Init auf ein Zertifikat zugreifen und dieses zum Aufbauen einer SSL-Sitzung verwenden. Mit Hilfe dieser API kann eine Anwendung für einen Zertifikatsspeicher an Stelle des von Ihnen speziell angegebenen Zertifikats das Standardzertifikat verwenden. Im Allgemeinen verwenden Sie diesen Zertifikatsspeicher bei der Migration von Zertifikaten von einem früheren DCM-Release oder bei der Erstellung einer speziellen Untergruppe von Zertifikaten für die Verwendung mit SSL. Digital Certificate Manager 9

16 Anmerkung: Wenn auf Ihrem System ein IBM Verschlüsselungskoprozessor installiert ist, können Sie weitere Auswahlmöglichkeiten für die Speicherung des privaten Schlüssels für Ihre Zertifikate angeben. (Eine Ausnahme bilden hierbei allerdings Objektsignierzertifikate.) Sie haben die Wahl, entweder den privaten Schlüssel auf dem Koprozessor selbst zu speichern, oder den Koprozessor zu verwenden, um den privaten Schlüssel zu verschlüsseln und ihn statt in einem Zertifikatsspeicher in einer speziellen Schlüsseldatei zu speichern. DCM steuert den Zugriff auf Zertifikate mittels Kennwörtern. Darüber hinaus verwaltet DCM die Zugriffssteuerung über das IFS-Verzeichnis (IFS = Integrated File System) und die Dateien, aus denen sich der Zertifikatsspeicher zusammensetzt. Die Zertifikatsspeicher Lokale Zertifizierungsinstanz (CA), *SYSTEM, *OBJECTSIGNING und *SIGNATUREVERIFICATION müssen in den entsprechenden Pfaden im IFS gespeichert sein; Speicher für andere Systemzertifikate können an beliebiger Stelle im IFS vorhanden sein. Zugehörige Konzepte Typen digitaler Zertifikate auf Seite 33 In diesen Informationen wird erläutert, welche unterschiedlichen Typen digitaler Zertifikate unterstützt werden und wie diese in Digital Certificate Manager (DCM) eingesetzt werden können. Chiffrierung In diesem Abschnitt sind grundlegende Informationen zur Chiffrierung enthalten. Außerdem erfahren Sie hier, auf welche Weise digitale Zertifikate Verschlüsselungsfunktionen verwenden, um die Sicherheit der verwendeten Systeme zu gewährleisten. Die Chiffrierung bezeichnet die Wissenschaft, die sich mit der Gewährleistung der Datensicherheit befasst. Sie ermöglicht die Speicherung von Informationen und die Übertragung von Daten an andere Personen, ohne dass Unbefugte die gespeicherten Informationen lesen oder die Kommunikation mit diesen Personen verstehen können. Durch eine Verschlüsselung wird der lesbare Text in unlesbare Daten (sog. Ciphertext) umgesetzt. Durch die Entschlüsselung wird aus den unlesbaren Daten wieder der ursprüngliche, lesbare Text hergestellt. Für beide Prozesse werden mathematische Formeln oder Algorithmen und eine geheime Datenfolge (der so genannte Schlüssel) benötigt. Es gibt zwei Arten der Chiffrierung: v Für die (symmetrische) Chiffrierung mit gemeinsamen, geheimen Schlüsseln wird ein geheimer Schlüssel gemeinsam von zwei miteinander kommunizierenden Teilnehmern verwendet. Für die Verschlüsselung und Entschlüsselung wird derselbe Schlüssel benutzt. v Für die (asymmetrische) Chiffrierung mit öffentlichen Schlüsseln werden für Verschlüsselung und Entschlüsselung verschiedene Schlüssel verwendet. Ein Teilnehmer hat ein Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht. Der öffentliche Schlüssel wird (normalerweise über ein digitales Zertifikat) frei weitergegeben. Der private Schlüssel hingegen wird vom Eigner sicher verwahrt und geheim gehalten. Die beiden Schlüssel stehen in einer mathematischen Beziehung zueinander, es ist jedoch nahezu unmöglich, den privaten Schlüssel aus dem öffentlichen Schlüssel abzuleiten. Ein Objekt wie z. B. eine Nachricht, die mit einem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem zugeordneten privaten Schlüssel entschlüsselt werden. Wechselweise kann auch ein Server oder Benutzer einen privaten Schlüssel verwenden, um ein Objekt zu signieren. Der Empfänger kann dann mit dem zugehörigen öffentlichen Schlüssel die digitale Signatur entschlüsseln, um den Ursprung sowie die Integrität des Objekts zu überprüfen. Zugehörige Konzepte Digitale Signaturen auf Seite 5 Eine digitale Signatur auf einem elektronischen Dokument oder einem anderen Objekt wird mit Hilfe eines bestimmten Chiffrierverfahrens erstellt und entspricht einer persönlichen Unterschrift auf einem schriftlichen Dokument. Secure Sockets Layer (SSL) auf Seite 11 Der ursprünglich von Netscape entwickelte SSL-Standard hat sich zum Branchenstandard für die Sitzungsverschlüsselung zwischen Clients und Servern entwickelt. 10 IBM Systems - iseries: Sicherheit Digital Certificate Manager

17 IBM Verschlüsselungskoprozessoren für iseries Dieser Verschlüsselungskoprozessor stellt bewährte kryptografische Services zur Gewährleistung der Vertraulichkeit und der Integrität bereit, die Ihnen das Entwickeln sicherer e-business Anwendungen ermöglichen. Ein IBM Verschlüsselungskoprozessor für iseries ergänzt Ihr System durch sehr sichere kryptografische Verarbeitungsfunktionen. Wenn auf Ihrem System ein Verschlüsselungskoprozessor installiert und aktiviert ist, können Sie diesen zum Bereitstellen sichererer Speichermöglichkeiten für die privaten Schlüssel Ihrer Zertifikate verwenden. Sie können den Verschlüsselungskoprozessor zum Speichern des privaten Schlüssels eines Server- oder Client-Zertifikats sowie eines Zertifikats einer lokalen Zertifizierungsinstanz (CA) verwenden. Der Verschlüsselungskoprozessor kann allerdings nicht verwendet werden, um den privaten Schlüssel eines Benutzerzertifikats zu speichern, weil dieser Schlüssel auf dem System des Benutzers gespeichert werden muss. Auch zum Speichern des privaten Schlüssels für ein Objektsignierzertifikat kann er nicht benutzt werden. Sie können den privaten Schlüssel eines Zertifikats entweder direkt im Verschlüsselungskoprozessor speichern, oder den Hauptschlüssel dieses Koprozessors verwenden, um den Schlüssel zu verschlüsseln und in einer speziellen Schlüsseldatei zu speichern. Sie können diese Auswahlmöglichkeiten für Schlüsselspeicher im Rahmen der Zertifikatserstellung oder -verlängerung auswählen. Wenn Sie den Koprozessor zum Speichern eines privaten Zertifikatsschlüssels verwenden, können Sie die Einheitenzuordnung des Koprozessors für diesen Schlüssel ändern. Wenn Sie den Verschlüsselungskoprozessor zur Speicherung von privaten Schlüsseln verwenden wollen, müssen Sie sicherstellen, dass der Koprozessor vor dem Einsatz von Digital Certificate Manager (DCM) aktiviert wird. Andernfalls kann DCM die Auswahl zur Angabe der Speicherposition bei der Zertifikatserstellung oder -verlängerung nicht bereitstellen. Zugehörige Konzepte Zertifikatsschlüssel auf einem IBM Verschlüsselungskoprozessor speichern auf Seite 83 Dieses Thema enthält Informationen zum Einsatz eines installierten Koprozessors zur Verbesserung der Sicherheit der gespeicherten privaten Schlüssel Ihrer Zertifikate. Secure Sockets Layer (SSL) Der ursprünglich von Netscape entwickelte SSL-Standard hat sich zum Branchenstandard für die Sitzungsverschlüsselung zwischen Clients und Servern entwickelt. SSL verwendet die asymmetrische Chiffrierung mit öffentlichen Schlüsseln, um die Sitzung zwischen Server und Client zu verschlüsseln. Die Client- und die Serveranwendung vereinbaren diesen Sitzungsschlüssel während des Austauschs digitaler Zertifikate. Die Gültigkeit des Schlüssels läuft automatisch nach 24 Stunden ab und für jede Serververbindung und jeden Client wird vom SSL-Prozess ein anderer Schlüssel erstellt. Deshalb können auch unbefugte Benutzer, selbst wenn sie einen Sitzungsschlüssel abfangen und entschlüsseln (was sehr unwahrscheinlich ist), den Schlüssel nicht für spätere Sitzungen erneut verwenden. Zugehörige Konzepte Chiffrierung auf Seite 10 In diesem Abschnitt sind grundlegende Informationen zur Chiffrierung enthalten. Außerdem erfahren Sie hier, auf welche Weise digitale Zertifikate Verschlüsselungsfunktionen verwenden, um die Sicherheit der verwendeten Systeme zu gewährleisten. Typen digitaler Zertifikate auf Seite 33 In diesen Informationen wird erläutert, welche unterschiedlichen Typen digitaler Zertifikate unterstützt werden und wie diese in Digital Certificate Manager (DCM) eingesetzt werden können. Digital Certificate Manager 11

18 Anwendungsdefinitionen Unter diesem Thema erfahren Sie mehr zu DCM-Anwendungsdefinitionen und wie diese für die SSL- Konfiguration und zum Signieren von Objekten eingesetzt werden können. Unter Digital Certificate Manager (DCM) können Sie zwei verschiedene Anwendungsdefinitionstypen verwalten: v Client- oder Serveranwendungsdefinitionen, die mit SSL-Kommunikationssitzungen (SSL = Secure Sockets Layer) arbeiten. v Objektsignieranwendungsdefinitionen zum Signieren von Objekten, um die Objektintegrität sicherzustellen. Wenn Sie unter DCM mit SSL-Anwendungsdefinitionen und den zugehörigen Zertifikaten arbeiten wollen, muss die Anwendung in DCM zuerst als Anwendungsdefinition registriert werden, um ihr eine eindeutige Anwendungs-ID zuzuordnen. Anwendungsentwickler registrieren Anwendungen mit SSL-Unterstützung mit Hilfe einer API (QSYRGAP, QsyRegisterAppForCertUse), um die Anwendungs-ID in DCM automatisch zu erstellen. Alle IBM iseries-anwendungen mit SSL-Unterstützung sind in DCM registriert, so dass Sie DCM auf einfache Weise für die Zuordnung eines Zertifikats benutzen können, um die Herstellung einer SSL-Sitzung zu ermöglichen. Bei selbst geschriebenen oder gekauften Anwendungen können Sie ebenfalls eine Anwendungsdefinition definieren und die entsprechende Anwendungs-ID in DCM erstellen. Sie müssen im Zertifikatsspeicher *SYSTEM arbeiten, um eine SSL-Anwendungsdefinition für eine Client- oder eine Serveranwendung zu erstellen. Um ein Zertifikat zum Signieren von Objekten zu verwenden, müssen Sie zuerst eine Anwendung definieren, die mit dem Zertifikat benutzt werden soll. Anders als eine SSL-Anwendungsdefinition beschreibt eine Objektsignieranwendung keine konkrete Anwendung. Stattdessen sollte die von Ihnen erstellte Anwendungsdefinition zur Beschreibung des Typs oder der Gruppe von Objekten dienen, die signiert werden sollen. Sie müssen im Zertifikatsspeicher *OBJECTSIGNING arbeiten, um die Definition einer Objektsignieranwendung zu erstellen. Zugehörige Konzepte Anwendungen in DCM verwalten auf Seite 76 Dieses Thema enthält Informationen zum Erstellen von Anwendungsdefinitionen und dazu, wie die Zertifikatszuordnung einer Anwendung verwaltet werden kann. Außerdem wird hier erklärt, wie CA- Anerkennungslisten definiert werden, die von Anwendungen zum Akzeptieren von Zertifikaten für die Client-Authentifizierung benutzt werden. Zugehörige Tasks Anwendungsdefinition erstellen auf Seite 76 In diesem Abschnitt werden die beiden verschiedenen Anwendungstypen beschrieben, die Sie definieren und mit denen Sie arbeiten können. Gültigkeitsprüfung Digital Certificate Manager (DCM) stellt Tasks zur Verfügung, mit deren Hilfe Sie ein Zertifikat oder eine Anwendung überprüfen und dadurch feststellen können, ob eine Reihe von erforderlichen Eigenschaften erfüllt ist. Gültigkeitsprüfung für Zertifikate Beim Überprüfen eines Zertifikats prüft Digital Certificate Manager (DCM) eine Reihe von Zertifikatsmerkmalen, um die Authentizität und Gültigkeit des Zertifikats sicherzustellen. Die Überprüfung eines Zertifikats gewährleistet, dass die Wahrscheinlichkeit, dass Anwendungen, die das Zertifikat für die gesicherte Kommunikation oder zum Signieren von Objekten verwenden, bei dessen Einsatz auf Probleme stoßen, auf ein Minimum reduziert werden kann. 12 IBM Systems - iseries: Sicherheit Digital Certificate Manager

19 Im Rahmen des Überprüfungsprozesses stellt DCM fest, ob das ausgewählte Zertifikat noch gültig ist. Ist für die ausstellende CA ein CRL-Verteilungspunkt vorhanden, wird außerdem geprüft, ob das Zertifikat in der Liste der entzogenen Zertifikate (CRL) nicht als widerrufen aufgeführt ist. Wenn Sie die LDAP-Zuordnung (LDAP = Lightweight Directory Access Protocol) so konfigurieren, dass eine Liste der entzogenen Zertifikate verwendet wird, überprüft DCM diese Liste bei der Gültigkeitsprüfung des Zertifikats. Auf diese Weise kann sichergestellt werden, dass das Zertifikat nicht in der Liste der entzogenen Zertifikate enthalten ist. Damit während der Gültigkeitsprüfung die Liste der entzogenen Zertifikate korrekt überprüft werden kann, muss im Verzeichnisserver (LDAP-Server), der zur Ausführung der LDAP-Zuordnung konfiguriert wurde, die richtige Liste der entzogenen Zertifikate enthalten sein. Andernfalls schlägt die Gültigkeitsprüfung des Zertifikats fehl. Sie müssen einen DN für die Bindung und ein Kennwort angeben, um zu verhindern, dass ein Zertifikat validiert wird, das widerrufen wurde. Außerdem ist zu beachten, dass das System eine anonyme Bindung zum LDAP-Server herstellt, wenn Sie bei der Konfiguration der LDAP-Zuordnung keinen DN und kein Kennwort angeben. Bei anonymen Bindungen zum LDAP-Server sind nicht die erforderlichen Berechtigungen vorhanden, die für den Zugriff auf kritische Attribute wie die Liste der entzogenen Zertifikate benötigt werden. In diesem Fall kann DCM ein widerrufenes Zertifikat als gültig einstufen, weil der korrekte Status des Zertifikats nicht aus der Liste der entzogenen Zertifikate abgerufen werden kann. Wenn Sie über eine anonyme Bindung auf den LDAP-Server zugreifen wollen, müssen Sie das Directory-Server-Webverwaltungstool verwenden und dort die Task Schemadateien verwalten auswählen, um die Sicherheitsklasse (Zugriffsklasse) der Attribute certificaterevocationlist und authorityrevocationlist von kritisch in normal zu ändern. DCM prüft außerdem, ob sich das Zertifikat der Zertifizierungsinstanz für die ausstellende CA im aktuellen Zertifikatsspeicher befindet und ob das Zertifikat der Zertifizierungsinstanz als anerkannt markiert ist. Wenn für das Zertifikat ein privater Schlüssel definiert wurde (z. B. für Server-, Client- oder Objektsignierzertifikate), prüft DCM auch das öffentliche/private Schlüsselpaar, um sicherzustellen, dass dieses übereinstimmt. DCM verschlüsselt hierzu die Daten mit dem öffentlichen Schlüssel und prüft dann, ob die Daten mit dem privaten Schlüssel wieder entschlüsselt werden können. Gültigkeitsprüfung für Anwendungen Beim Überprüfen einer Anwendung stellt Digital Certificate Manager (DCM) fest, ob eine Zertifikatszuordnung für die Anwendung definiert wurde und ob dieses Zertifikat gültig ist. Darüber hinaus stellt DCM sicher, dass bei Anwendungen, die für die Verwendung einer CA-Anerkennungsliste konfiguriert wurden, diese Anerkennungsliste mindestens ein Zertifikat der Zertifizierungsinstanz enthält. Anschließend prüft DCM, ob die Zertifikate der Zertifizierungsinstanz in der CA-Anerkennungsliste der Anwendung gültig sind. Wenn in der Anwendungsdefinition angegeben ist, dass die CRL-Verarbeitung ausgeführt wird und dass ein definierter CRL-Verteilungspunkt für die Zertifizierungsinstanz (CA) definiert ist, überprüft DCM darüber hinaus im Rahmen des Überprüfungsprozesses auch die Liste der entzogenen Zertifikate (CRL). Die Überprüfung der Gültigkeit einer Anwendung kann zur Feststellung möglicher Probleme beitragen, die in einer Anwendung bei der Ausführung einer Funktion auftreten können, für die Zertifikate erforderlich sind. Solche Probleme können dazu führen, dass die betroffene Anwendung entweder nicht an einer SSL-Sitzung (SSL = Secure Sockets Layer) teilnehmen oder keine Objektsignaturen ausstellen kann. Zugehörige Konzepte Zertifikate und Anwendungen überprüfen auf Seite 80 Digital Certificate Manager (DCM) kann zum Überprüfen individueller Zertifikate oder der Anwendungen benutzt werden, die diese Zertifikate verwenden. Die Liste der von DCM geprüften Kriterien kann abhängig davon, ob Zertifikate oder Anwendungen geprüft werden, leicht variieren. Digital Certificate Manager 13

20 DCM-Szenarios In diesen Informationen finden Sie zwei Szenarios, in denen typische Situationen für die Implementierung von Zertifikaten schematisch dargestellt werden. Mit Hilfe dieser Szenarios können Sie die eigene Zertifikatsimplementierung im Rahmen Ihrer iseries-sicherheitsrichtlinien einfacher planen. Jedes Szenario umfasst darüber hinaus alle erforderlichen Konfigurationsschritte, die zum Implementieren des jeweiligen Szenarios ausgeführt werden müssen. Digital Certificate Manager und die Unterstützungsfunktion für digitale Zertifikate Ihres iseries-systems ermöglichen Ihnen den Einsatz von Zertifikaten zur Verbesserung verschiedener Aspekte Ihrer Sicherheitsrichtlinien. Die Art und Weise des Einsatzes dieser digitalen Zertifikate kann abhängig von Ihren individuellen Unternehmenszielen und den geltenden Sicherheitsanforderungen variieren. Durch die Verwendung digitaler Zertifikate wird die Sicherheit in verschiedener Hinsicht wesentlich verbessert. Digitale Zertifikate ermöglichen Ihnen über Secure Sockets Layer (SSL) den gesicherten Zugriff auf Websites und andere Internet-Services. Darüber hinaus können digitale Zertifikate auch zum Konfigurieren von VPN-Verbindungen (VPN = Virtual Private Network) benutzt werden. Der Schlüssel eines Zertifikats kann zum digitalen Signieren oder zum Prüfen der digitalen Signatur von Objekten verwendet werden, um die Authentizität dieser Objekte sicherzustellen. Derartige digitale Signaturen belegen den Ursprung eines Objekts und schützen dessen Integrität. Die Systemsicherheit kann weiter verbessert werden, wenn Sie zur Authentifizierung und Sitzungsberechtigung zwischen Servern und Benutzern an Stelle von Benutzernamen und Kennwörtern ebenfalls digitale Zertifikate verwenden. DCM kann darüber hinaus abhängig von der gewählten Konfiguration für die Zuordnung eines Benutzerzertifikats zum entsprechenden iseries-benutzerprofil oder zu einer EIM- Kennung (EIM = Enterprise Identity Mapping) verwendet werden. Das Zertifikat verfügt dann über die gleichen Berechtigungen wie das zugeordnete Benutzerprofil. Die Entscheidung über die Art des Einsatzes von Zertifikaten kann schwierig sein und hängt von einer Vielzahl verschiedener Faktoren ab. Die im vorliegenden Abschnitt bereitgestellten Szenarios beschreiben die wichtigsten Sicherheitszielsetzungen für die gesicherte Datenübertragung digitaler Zertifikate in verschiedenen prototypischen Unternehmensumfeldern. Jedes dieser Szenarios beschreibt darüber hinaus alle erforderlichen System- und Softwarevoraussetzungen und sämtliche Konfigurations-Tasks, die zur Ausführung des jeweiligen Szenarios benötigt werden. Zugehörige Informationen Object Signing Scenarios Szenario: Zertifikate für die externe Authentifizierung verwenden Dieses Szenario beschreibt, wann und wie Zertifikate als Authentifizierungsverfahren zum Schutz und zur Eingrenzung des Zugriffs öffentlicher Benutzer auf öffentliche bzw. Extranet-Ressourcen und -Anwendungen eingesetzt werden können. Situation: Sie arbeiten für das Versicherungsunternehmen MyCo., Inc. und sind für die Verwaltung verschiedener Anwendungen auf den Intra- und Extranet-Sites Ihres Unternehmens verantwortlich. Bei einer der Anwendungen, die in Ihrem Verantwortungsbereich liegen, handelt es sich um eine Prämienkalkulationsanwendung, mit der Hunderte von unabhängigen Versicherungsagenten entsprechende Kostenschätzungen für ihre Kunden generieren können. Da die von dieser Anwendung bereitgestellten Daten z. T. sensibel sind, wollen Sie sicherstellen, dass nur registrierte Versicherungsagenten sie benutzen können. Darüber hinaus wollen Sie eine sicherere Methode für die Benutzerauthentifizierung für die Anwendung bereitstellen, als dies über die derzeit verwendeten Verfahren für die Zugriffssteuerung über Benutzernamen und zugehörige Kennwörter möglich ist. Sie befürchten außerdem, dass unbefugte Benutzer diese Informationen abfangen könnten, wenn sie über ein ungesichertes Netzwerk übertragen wer- 14 IBM Systems - iseries: Sicherheit Digital Certificate Manager